랜섬웨어 사건과 제로데이 공격 받은 회사들의 CEO가 강조하는 건

페이지 정보

작성자 cfpa 댓글 0건 조회 1,528회 작성일 21-10-08 08:11

본문

출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=101346&kind=0


대형 사건이 많이 터진 올해지만, 그 중에서도 이름이 특별히 더 각인된 회사들이 있다. 콜로니얼 파이프라인과 액셀리온도 그런 회사들 중 하나다. 두 회사의 CEO가 보안 행사에 기조 연설자로 나와 피해자로서의 경험을 공유했다.

[보안뉴스 문가용 기자] 콜로니얼 파이프라인(Colonial Pipeline)의 CEO인 조 블런트(Joe Blount)는 사이버 공격이 발생했다는 걸 알게 되면서부터 일상 업무를 전혀 진행하지 못했다고 한다. 그 때부터 그는 보안 전문가가 아님에도 사건 대응에만 전념했다. “내가 CEO라는 사실을 자각하지 못할 정도였습니다. 한 순간이 아니라 며칠 동안이요. 아마 대대적인 사이버 사건을 겪은 모든 CEO들이 비슷할 겁니다.” 


콜로니얼 파이프라인은 지난 5월 대대적인 랜섬웨어 공격을 받아 에너지 공급을 중단할 수밖에 없었고, 미국 일부 지역에서는 석유와 가스가 동나는 사태가 벌어지기도 했다. 콜로니얼 측은 랜섬웨어 범인이었던 다크사이드(DarkSide)에 440만 달러라는 돈을 지급해 문제를 해결했다. 다행히 얼마 지나지 않아 FBI가 230만 달러를 회수하는 데 성공했다.

원래부터 보안 사건이 터지면 블런트의 역할은 소통의 채널이 되는 것이었다. 특히 미국 에너지부와의 연락을 담당하는 게 CEO인 블런트의 책임이었다. 그래서 일상적인 사업과 관련된 업무를 모두 제쳐두고 사건의 정황을 파악하고 대처법을 실시간으로 논의해 에너지부와 협력 관계를 도모하는 중간자 역할을 시작해야 했다. 그렇게 말하는 그의 옆에는 콜로니얼 파이프라인과 마찬가지로 대대적인 사이버 보안 사고를 겪었던 액셀리온(Accellion)의 CEO 조나슨 야론(Jonathon Yaron)이 있었다. 둘은 최근 열리는 보안 행사에서 CEO의 사건 대응 경험을 공유하는 일정을 담당하고 있었다.

“저희 같은 사태에 봉착하면 하루라는 시간이 얼마나 짧은지가 피부에 확 와 닿습니다. 그만큼 정신이 없고 온통 그 사건 해결과 진행 상황에 집중하게 되더군요.” 특히 매일 에너지부에 가서 정기 보고를 진행해야 함은 물론 수시로 상황을 관계자들에게 알려야 했던 그라서 다른 어떤 것도 신경 쓸 여력이 없었다고 한다. 여기서 관계자란 에너지부 외 모든 유관 기관 담당자들과 백악관, 로비스트 그룹들까지였다. 로비스트 그룹은 다른 기업들로 경고 메시지나 대처 정보를 전파하는 역할을 했다고 한다.

액셀리온의 야론은 회사를 운영하기 전에 이스라엘의 첩보 기관에서 근무하던 인물이다. 올해 액셀리온의 오래된 파일 전송 도구인 FTA가 제로데이 익스플로잇 공격을 받으면서 여러 고객사들에서 피해가 발생했었다. “저희 CTO도 저와 같은 첩보 기관 출신입니다. 회사 최고 위치에 두 첩보 요원이 앉아 있는데 제로데이 공격을 연달아 당한 것이죠. 그 때의 그 기분을 뭐라고 표현할 수가 없습니다. 우리도 모르는 뭔가를 누군가 미리 알고 선점했다는 건 정말 뼈아픈 일이었죠.”

액셀리온의 FTA는 20년 전에 개발된 기술인데 어느 날 갑자기 이상한 현상이 발견됐다. 이 때문에 경보가 울렸다. 가장 먼저 이상하다는 걸 파악한 건 미국의 한 학술 기관이었고, 곧바로 액셀리온 측으로 연락을 줬다고 한다. “연락을 받고 사건의 대강을 파악하니 어느 정도 느낌이 오더라고요. 일반 사이버 범죄자의 짓인지 국가 지원 해커들의 짓인지, 혹은 1회성 공격인지 대규모 캠페인인지가 말이죠. 은행, 미 정부 기관, 의료 기관들이 저희의 고객인 상황이었습니다.”

하지만 야론은 ‘느낌’보다는 구체적인 사실을 알아야 했다. “제일 먼저는 사건의 규모부터 파악했습니다. 잠재적인 피해 기업이 300개 정도 되더군요. 물론 나중에 보다 상세히 조사하니 90개 조직이 뚫렸고, 실제 큰 피해를 입은 고객은 35개사라는 게 밝혀지긴 했지만요.” 여기서 말하는 큰 피해란 고객 정보 탈취, 그로 인한 협박과 갈취 시도 등을 말한다.

규모를 파악하는 한 편 다른 쪽으로는 패치를 개발했다. 그래서 첫 번째 제로데이 패치가 발표된 건 작년 12월이었다. 이상 현상이 발견되고 72시간이 지난 시점이었다. 액셀리온은 고객들에게 패치 소식을 알리며 될 수 있으면 카이트웍스(Kiteworks)라는 방화벽 플랫폼으로 이동할 것을 권고했다. 하지만 다음 해 2월, 공격자들은 또 다른 제로데이 취약점을 익스플로잇 하기 시작했다. 전 첩보 요원으로서 뼈아팠다는 건 바로 이 두 번째 공격을 두고 한 말이다.

나중에 액셀리온 FTA 침해 사건으로 유출된 정보는 다크웹에서 발견됐다. 피해가 유독 컸던 나라는 미국, 캐나다, 네덜란드, 싱가포르였으며, 정보를 판매하고 있던 건 러시아의 사이버 갱단인 핀11(FIN11)이었다. 뼈아팠지만 야론은 재빨리 움직여 고객들에게 긴급 메시지를 다시 한 번 전파했다. FTA를 이제 버리고 다른 기술로 갈아타라는 촉구의 내용을 담고 있었다. “다행히 고객들 대부분 FTA 사용을 즉각 중단하시더군요. 사실 이 덕분에 잠재적 피해 기관 300이라는 숫자가 35로 줄어든 것입니다.”

액셀리온 측의 경고에도 불구하고 한 포춘 100대 기업 하나는 FTA 시스템을 계속 사용했다. 시스템을 바꾸면서 사업을 중단하는 게 너무나 큰 리스크였기 때문이다. “잘 지켜보겠다, 아무 일 없을 거다, 라는 말만 하시더군요. 사이버 공격자들의 능력을 잘 알고 있는 저희로서는 너무나 안타까웠습니다만 더 이상 취할 방법이 없었습니다.”

두 CEO가 공통적으로 보안 사고의 피해자로서 강조하고 있는 건 ‘메시지 전파’의 중요성이다. “사이버 공격이 발생했을 때, 그걸 숨길 수 있다고 생각하면 일이 더 악화됩니다. 다 터놓고 까는 게 훨씬 효율적이고 건강하며 일을 깔끔하게 처리할 수 있습니다. 파이프라인이 정부 기관과 공조하여 여러 상황을 재빨리 전파하지 않았다면 범인들에게 낸 돈의 상당 부분을 회수할 수 없었을 겁니다. 액셀리온이 제로데이 공격에 대한 경고를 고객들에게 빨리 전달하지 않았다면 피해 조직은 최소 300개가 됐을 거고요. 특히 액셀리온이 고객들에게 ‘해야 할 일’을 경고와 같이 알렸다는 게 주효했다고 봅니다.”

3줄 요약
1. 올해 보안 사고로 커다란 족적을 남긴 두 회사 CEO, 보안 행사에 나섬.
2. 기조 연설을 통해 ‘메시지 전파의 중요성’을 공통으로 강조.
3. 사고 났을 때 숨기면 오히려 상황이 악화될 확률 높다고 설파.
[국제부 문가용 기자(globoan@boannews.com)]